2024年最酷的黑客故事：俄罗斯APT组织利用邻近Wi-Fi网络进行攻击

事件背景

2024年，一个发生在两年前的黑客攻击事件在弗吉尼亚州阿灵顿的Cyberwarcon会议上被公开。该事件涉及与俄罗斯GRU情报机构有关联的黑客组织Fancy Bear（也称为APT28、Forrest Blizzard和Sofacy）。这些黑客通过入侵邻近建筑物的Wi-Fi设备，成功渗透了高价值目标的网络。

攻击过程

1. 初始攻击失败：黑客组织GruesomeLarch（Volexity对其的命名）最初尝试通过常规方法入侵目标网络，但未能成功。
2. 利用邻近Wi-Fi设备：在常规攻击失败后，黑客入侵了目标附近建筑物中的Wi-Fi设备，并利用这些设备进一步渗透目标网络。
3. 多次尝试：在第一个邻近网络被清理后，黑客又成功入侵了第二个邻近设备的Wi-Fi网络。
4. 零日漏洞利用：黑客利用了2022年初Microsoft Windows Print Spooler中的一个零日漏洞（CVE-2022-38028）来入侵邻近的Wi-Fi设备。

攻击特点

• 远程操作：尽管黑客在物理上远离目标，但他们通过技术手段实现了近距离攻击的效果，降低了被抓获的风险。
• 凭证填充攻击：黑客通过凭证填充攻击获取了目标组织员工在Web服务平台上的多个账户密码，但由于平台启用了双因素认证（2FA），攻击未能成功。
• Wi-Fi网络漏洞：黑客发现，被入侵的Web服务账户的凭证同样适用于目标Wi-Fi网络，而Wi-Fi网络未启用2FA，这成为攻击成功的关键。

安全教训

• 单一假设的致命性：目标组织在Web服务平台上启用了2FA，但未在Wi-Fi网络上实施，这一假设导致了安全漏洞。
• 高级持续性威胁（APT）的威胁：GruesomeLarch等APT组织擅长发现并利用这类安全疏忽，展示了其攻击的复杂性和持久性。

防护建议

Volexity在其发布的文章中提供了详细的技术细节和防护建议，帮助网络管理员防范类似的复杂攻击链。

总结

此次攻击展示了APT组织如何通过利用邻近Wi-Fi网络和零日漏洞，绕过传统的安全防护措施。事件提醒我们，网络安全需要全面考虑，任何单一的安全假设都可能成为攻击的突破口。